Au moins 187 paquets de code mis à disposition via le référentiel JavaScript NPM ont été infectés par un ver auto-réplicateur qui vole les identifiants des développeurs et publie ces secrets sur GitHub, préviennent les experts. Le malware, qui a brièvement infecté plusieurs paquets de code du fournisseur de sécurité CrowdStrike, vole et publie encore plus d'identifiants à chaque fois qu'un paquet infecté est installé.